06 / מקצועות הסייבר, התמחויות סייבר וחוק מקצועות הסייבר

THE REGULATION OF CYBER SECURITY PROFESSIONS IN ISRAEL

מבוא לאסדרת מקצועות הסייבר (רגולציה/ חקיקה)

מדינת ישראל, באמצעות מערך הסייבר הלאומי, הכריזה ומיישמת תהליך “אסדרת מקצועות הסייבר בישראל" (רגולציה). נושא האסדרה למקצועות הועלה לראשונה על-ידי הפורום הישראלי לאבטחת מידע IFIS, אשר הוקם ב- 2007 על-ידי אבי ויסמן (יו”ר) והאלוף יעקב עמידרור. ב- 2012 הוקם מטה הסייבר הישראלי אשר אימץ בפועל את המלצות הפורום לבצע אסדרה. ב- 2015 הוקמה הרשות הלאומית להגנת סייבר אשר מתכננת את פרטי ההחלטה ומיישמת אותה. ב- 2016 אוחדו הגופים לגוף הנקרא מערך הסייבר הלאומי (INCD). רגולציה זו לא מאפשרת “המצאת קורסים” ומחייבת מכללות לתוכנית לימודים ולאיכות לימודים ברמה ההולמת את צרכי מקצועות הסייבר. תוכניות לימוד אשר לא תעמודנה בתקן זה לא תאושרנה על-ידי מערך הסייבר והאגף להכשרה מקצועית במשרד העבודה (בשם מדינת ישראל).

ראשי הפרקים באסדרה:

1. מערך הסייבר הלאומי
2. המטרה
3. השיטה
4. תכולה
5. שיטת בחינה
6. התייחסות לאנשי מקצוע ותיקים
7. דרישות-סף למקצועות הסייבר
8. התייחסות לאנשי מקצוע ותיקים
9. דרישות-סף למקצועות הסייבר
10. הדרישה מהמשק
11. רשימת מקצועות הסייבר שהוגדרו רישמית-תמצית
12. רשימת מקצועות הסייבר שהוגדרו רישמית - מורחב

מהו מערך הסייבר הלאומי? (Israel National Cyber Directorate)

המערך הוא גוף ממלכתי, ביטחוני וטכנולוגי האמון על הגנת מרחב הסייבר הלאומי ועל קידום וביסוס עוצמתה של ישראל בתחום. המערך פועל ברמת המדינה לחיזוק תמידי של רמת ההגנה של הארגונים והאזרחים, לטיפול בתקיפות סייבר ולסילוקן ולהיערכות לחירום. כחלק מתפקידיו, מקדם המערך פתרונות חדשניים וטכנולוגיות צופות פני עתיד, מתווה אסטרטגיה ומדיניות בזירות הלאומית והבין-לאומית, ומפתח את ההון האנושי בתחום. המערך חותר לקיום מרחב סייבר מוגן, בטוח וחופשי עבור כלל האזרחים, המאפשר את צמיחתה ואת ביסוס עוצמתה של מדינת ישראל.

ב- 2007 הוקם הפורום הישראלי לאבטחת מידע IFIS, על-ידי אבי ויסמן (יו”ר) והאלוף יעקב עמידרור, כגוף לאומי התנדבותי. ב- 2012 הוקם הגוף הממלכתי הרשמי –  מטה הסייבר הישראלי, אשר "ירש" את התפקיד, אימץ את רעיון אסדרת המקצועות, והחל לקדמו באופן ממלכתי. ב- 2015 הוקמה הרשות הלאומית להגנת סייבר אשר תכננה את פרטי ההחלטה ויישמה אותה. ב- 2016 אוחדו הגופים תחת השם הנוכחי.

רגולציה זו לא מאפשרת “המצאת קורסים” ומחייבת מכללות לתוכנית לימודים ולאיכות לימודים ברמה ההולמת את צרכי מקצועות הסייבר. תוכניות לימוד אשר לא תעמודנה בתקן זה לא תאושרנה על-ידי מערך הסייבר והאגף להכשרה מקצועית במשרד העבודה (בשם מדינת ישראל).

המטרה

העלאה ניכרת ברמת המקצועיות של אנשי הגנת הסייבר בישראל

השיטה

קביעת רשימת מקצועות והתמחויות, והגדרת תכנים נכונים וזווית הראייה הרלוונטית לכל מקצוע.

יצירת אמת מידה (מבחן לאומי) הבוחנת את בעלי המקצוע השונים.

תכולה

אנשי סייבר המועסקים במישרין ובעקיפין כקבלני מישנה על-ידי המדינה וגופיה, ו/או כפופים לרגולציה ממשלתית כללית או מיגזרית (גופי בטחון, רפואה, אנרגיה, פיננסים וכו’) ההערכה הקיימת היא שהרגולציה תקיף את כלל אנשי המקצוע בישראל (אנשי מקצוע שאינם מחויבים יבחרו בהסמכה מרצון).

שיטת בחינה

מבחן תאורטי ומבחן מעשי, וכן מבחני כשירות תלת-שנתיים.

התייחסות לאנשי מקצוע ותיקים

טרם נקבעה התייחסות רשמית. צפויה הקלה חלקית בתנאי המבחנים.

דרישות-סף למקצועות הסייבר

כל בעל מקצוע בתחום הסייבר מחויב ברכישת ידע במערכות הפעלה, תקשורת וטכנולוגיות בסיסיות בהגנת סייבר:

• Windows Server or Linux Server System
• השלמה ברמת Linux Client or Windows Client (בהתאמה וכהשלמה לסעיף קודם)
• תקשורת מחשבים: טופולוגיות, רכיבים ופרוטוקולים
• טכנולוגיות בסיסיות בהגנת סייבר: חומת אש, אנטי-וירוס, אנטי-ספאם.
• לעיתים, גם לימוד שפת Python.

הדרישה מהמשק

תהליך החלת היישום במשק (עבודה בפועל של בעלי המקצוע המוסמכים במגזרי המשק והארגונים השונים) יתבצע באופן מדורג בהתאם לחשיבות ודחיפות, לסוג המגזרים והארגונים, לקיום תשתית משפטית מתאימה וכדומה. זאת תוך איזון הולם בין המרכיבים, האילוצים והסיכונים הרלוונטיים:

• במשרדי הממשלה – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות כפי שנקבע בהחלטת ממשלה 2443: כל עובד חדש שיועסק בתחום הגנת הסייבר בממשלה יעמוד בהסמכות הרלוונטיות. בתוך חמש שנים, לכל היותר, כלל העובדים העוסקים בהגנת הסייבר בממשלה יעמדו בהסמכות הרלוונטיות.
• במגזרי המשק האזרחי (בכלל המגזר או בגופים מסוימים בו) – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי הכוונת הרגולטורים הרלוונטיים בהתאמה למדיניות המערך. זאת, בהלימה להחלטת ממשלה 2443, אשר הטילה על הרגולטורים המגזריים להכווין ולהנחות את גופי המגזר בהגנת הסייבר, לרבות הגדרת המדיניות ודרישות האסדרה בהתאם למאפיינים של הגופים אשר ביחס אליהם מתבצעת הפעילות.
• בגופים ייחודיים שיוגדרו על ידי הרשות כבעלי נזק פוטנציאלי משמעותי כתוצאה מפגיעה במערכות הממוחשבות שלהם[1] – העוסקים בהגנת הסייבר יידרשו לעמוד בהסמכות הרלוונטיות על פי החלטת המערך, ובמידת הצורך תוך היוועצות עם הרגולטורים המגזריים הרלוונטיים.

רשימת מקצועות הסייבר שהוגדרו רישמית

1. בקר SOC (מנטר) – (SOC Analyst) הדרג הראשון שתפקידו אירועים חשודים. אנליסט ב-SOC נדרש להגיב לאירועים בזמן גילויים, לזהות חתימות ולפענח את מנות הנתונים, ולבצע הערכת סיכונים רלוונטית למשאבי הארגון אשר נובעת מהאירוע. בנוסף, תתבצע בדיקה מול יומני המערכות הארגוניות אשר עלולות היו להיות מושפעות מהאירוע: יישומים, מסדי נתונים, שרתי Web ואחרים, תחנות עבודה, משאבי הרשת ועוד.
2. מיישם הגנת סייבר – (CSP: Cyber Security Practitioner) אחראי על הפעלת כלי אבטחת המידע בארגון. התפקיד דומה לתפקיד מנהל רשת, אך הטכנולוגיות שתחת אחריותו, הינן רבות ומתקדמות, ועוסקות בהגנה על המידע, על התקשורת, על אמצעי האחסון ועל המחשבים. בניגוד לסביבת הרשת שבה נפוצות בעיקר מערכות Microsoft ו- Linux, בסביבת הגנת סייבר של ארגון טיפוסי, קיימים יצרנים רבים וכלי הגנה מגוונים מאוד.
3. ארכיטקט הגנת סייבר – "מומחה טכנולוגיות הגנת סייבר" (CSTP: Cyber Security Technology Professional) הוא "הראש" שמאחורי ההגנה על המידע. הוא-הוא שיעמוד מול התוקף, יתכנן את המערכת, ינחה את המיישמים בעבודתם, יעצב את שיטת העבודה, יעקוב אחר האירועים לצורך איתור התקפה, וינחה את התגובה וההתמודדות עם התקפה. הארכיטקט אחראי לתכנון ולבניית ההגנה על מערכות ההפעלה, רשת התקשורת, הקוד והיישומים כנגד האקרים. את תפקידו יבצע באמצעות הנחיות למיישם אבטחת המידע. יימצא בארגונים כלליים בינוניים וגדולים ובחברות יעוץ ושירות בתחום אבטחת המידע. בחברות קטנות יבוצע התפקיד על-ידי מנהל הרשתות, מנהל הסיסטם או מנהל התקשורת.
4. מומחה מתודולוגיות הגנת סייבר – (CSMP: Cyber Security Methodology Professional) יוצק לתבנית ההגנה הטכנולוגית חוקים, כללים, הוראות עבודה, על מנת לקיים בו בזמן את חוקי החברה, המדינה, ולממש את ההגנה. המומחה יהיה בעל רקע אקדמי, האחראי על: (א) גיבוש, אפיון ומימוש תפיסות, שיטות ומתודולוגיות להגנת הסייבר בארגון, (ב) הטמעת היבטי אסדרה ותקינה ישראלית ובינלאומית והיבטי הגנת הפרטיות, (ג) ניהול סיכונים, (ד) ליווי תהליכים ארגוניים בסייבר (ליווי הקמת מערכות, פרויקטים, שרשרת האספקה, המשכיות עסקית.), זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות הארגונית.
5. מומחה בדיקות חדירות – (CSPT: Cyber Security Penetration Tester) מבצע בדיקות חדירות למערך ההגנה הארגוני. מקצוע זה הינו מן המורכבים והמתוחכמים, מתאפיין במולטי-דיסציפינריות וביצירתיות רבה, שליטה במערכות הפעלה, בתקשורת על כל נדבכיה, ובעיקר פרוטוקולים מגוונים לסביבות שונות, בשפות תכנות (לפחות C, ורצוי גם Python או Perl, וכן Assembly, מכיר טכניקות הגנה וכלי הגנת סייבר, ושולט בטכניקות ובכלי תקיפה מגוונים. מומחי "תקיפה מתקדמת" יכירו היטב היבטים של: (1) תשתיות, (2) של WEB, (3) של Reverse Engineering, (4) של יישומים ארגוניים נפוצים שונים, (5) של סביבות ייחודיות ורגישות כמו Cloude, IoT, Mobile ועוד.
6. מומחה חקירות סייבר – (CSFP: Cyber Security Forensics Professional) הוא מומחה בעל ידע ויכולת מעשית בנושאי תחקור אירועים, כישורים בתחומי שחזור מידע ונתונים, פענוח אירועים, Reverse Engineering, שימור ראייתי, חקירת זמן אמת ואקס פוסט, בעל שליטה בכלים יעודיים לחקירה, הכרת ההיבט משפטי וגופי חקירה וסמכויותיהם, ויכולת כתיבת דו"ח בדיקה.
7. מנתח פוגעני סייבר – (CSMA: Cyber Security Malware Analyst) משתמש בכלים קיימים המאפשרים לזהות טכניקות ידועות, ובדיקה  של מערכת ההפעלה ומרכיביה, כדי להתמודד עם תוכנות זדוניות מתקדמות במיוחד. כלים קיימים מספקים חלק מהתובנות המבוקשות של תוכנות זדוניות פשוטות, אך הם מוגבלים ביכולתם לזהות וריאנטים חדשים ללא מומחה אנושי.
8. מחה (ארכיטקט) אבטחת יישומים: (ASP: Application Security Professional) מומחה פיתוח מאובטח מוביל את המפתחים לתוצר תוכנה מאובטח, באמצעות יישום טכניקות תכנות מאובטחות, לעיצוב המשוחרר מכשלים לוגיים ופגמים ביישום הטכני. מומחה זה אחראי להבטחת התוכנה של הלקוח, כך שלא תהווה יעד לתקיפה או נקודת תורפה במערך ההגנה הארגוני בה עושים בתוכנה. הוא אחראי לשילוב כלי אבטחה, סטנדרטים ותהליכים למחזור החיים של הפיתוח והמוצר SDLC, לדאוג להנחות פיתוח ו-QA לעבוד באופן מאובטח, לדאוג כי כל שלבי המוצר יהיו מאובטחים ככל הניתן וישמרו על יושרה, חשאיות ופיתוח תקין.

מיישם הגנת סייבר
CYBER SECURITY PRACTITIONER - CSP

אדם בעל ידע תיאורטי בסיסי ויכולת יישומית (Hands-on) האחראי על יישום הגנת הסייבר בארגון:

• התקנה, ניהול, תפעול ותחזוקה של מוצרי הגנת הסייבר)כגון אנטי-וירוס, DLP, IPS, Firewall, בקרת גישה, הגנת התקנים ניידים).
• יישום תהליכי אבטחה שגרתיים (כגון ניהול חשבונות והרשאות משתמשים, ניהול סיסמאות, ניהול גישת משתמשים למחשבים ולמידע, ניהול ציוד קצה והתקנים ניידים בהיבטי אבטחה).
• זיהוי וטיפול ראשוני / בסיסי באירועי אבטחה בהסתמך על הכרת סוגי איומים ותקיפות ואופן הטיפול בתקיפות שהתגלו. כל זאת תוך הכרת והבנת הפעילות, הצרכים והמטרות של הארגון.

ידע מקצועי נדרש

מבוא להגנת הסייבר

מונחים, איומים, סוגי יריבים והמוטיבציות שלהם, סוגי תקיפות (לרבות תקיפת מחשב מרחוק / מתוך הארגון, חדירה פיזית למתחמי מחשב, Social Engineering ותקיפות משולבות), סוגי פגיעות במערכות / במידע (לרבות בהיבטי זמינות, אמינות, שלמות וסודיות), השלכות ומשמעויות הפגיעה (כלכליות, מוניטין, משמעויות מעבר לרמת הארגון), דרכי התמודדות ארגוניות (מינוי בעלי תפקידים, הגדרת מדיניות ונהלים, הגדרת נכסי מידע ומערכות חיוניות, ניהול סיכונים, אבטחה פיזית, המרכיב האנושי ומהימנות עובדים, מודעות, הטמעה בתרבות הארגונית, דיווחים ובקרות), גופים לאומיים העוסקים בתחום בישראל.

ידע בסיסי בחוקים, החלטות ממשלה, תקינה ואסדרה בנושאי הגנת הסייבר, אבטחת מידע ופרטיות הנהוגים בישראל

היכרות עם הסביבה הטכנולוגית

מבנה המחשב (לרבות CPU, ALU, ROM, RAM, אמצעי אחסון, UEFI, BIOS), מודל 7 השכבות (OSI), תקשורת מחשבים (כולל Wireless), רכיבי תקשורת (לרבות Switch, Router), רשתות (WAN, LAN), פרוטוקולים (לרבות HTTP, HTTPS, DNS, RADIUS, SYSLOG, FTP, TCP/IP, UDP, SSL, SIP, RIP, ARP, SSH, ICMP, SNMP, SNTP, IPSEC), מערכות הפעלה (לרבות Linux, Windows), בסיסי נתונים, מערכות SCADA, Mobile, Virtualization, מחשוב ענן, Hosting, Big Data, יישומים נפוצים (כגון יישומי , ERP, CRM, Billing), שיטות גיבוי ושחזור.

היכרות טובה עם טווח רחב של מוצרים ושיטות אבטחה (לרבות אופן היישום, שגרות תפעול, קונפיגורציה, עדכוני תוכנה וחומרה, דרכי התחזוקה ודרכי הניהול)

אנטי-וירוס, DMZ, Firewall, Proxy, הקשחת שרתים ומערכות הפעלה, IDS (Intrusion Prevention System), IPS (Intrusion Detection System), DLP (Data Leakage Prevention), SBC (Session Border Controller), Anomaly Detection (User / Network Behavior), NAC (Network Access Control), סגמנטציה (כולל VLAN), Encryption, ניהול זהויות (IAM / IDM), הגנת התקנים ניידים, EPS (Endpoint Security), MDM(Mobile Device Management), MAM (Mobile Application Management), שירותי Mail Relay, SOC (Security Operations Center), SIEM (Security Information Event Management), שיטות בקרת גישה (סיסמאות, Tokens, Smart Cards, ביומטריה, Multi-Facto), אותנטיקציה של משתמשים ושל התקנים, Data/Content Filtering, Remote Access, VPN, Wireless Security, אבטחת מערכות בסביבת WEB (לרבות Web Filtering ו- WAF), אבטחת מערכות SCADA, הגנת בסיסי נתונים ומערכי אחסון מרכזיים, הלבנת / השחרת קבצים, BCP, DRP, Honey Pots.

היכרות עמוקה עם תהליכי האבטחה השגרתיים בארגון

ניהול חשבונות והרשאות משתמשים לרבות Privilege User, Guest, Administrator), ניהול סיסמאות, ניהול גישת משתמשים למחשבים ולמידע, ניהול גיבויים, Patch Management (לרבות למערכות הפעלה, לרכיבי תקשורת, ליישומים, למוצרי אבטחה), ניהול ציוד קצה והתקנים ניידים, קבלה ומעקב אחר מידע (המתקבל מלוגים, Events ומקורות חוץ), וחקירתו, ניטור מערכות, חיפוש וזיהוי אנומליות.

ידע בסיסי באופן הטיפול באירועי אבטחה

הכרת סוגי תקיפות מוכרות (כגון: DOS / DDOS, Spear Phishing) ואופן הטיפול בתקיפות שהתגלו (גישות וכלים).

אתיקה מקצועית.